„Durchleuchtet uns mal!“ - Europas erster Apotheken-Pentest

„Wer sollte schon meine kleine Apotheke hacken?“ Wie trügerisch diese Einschätzung vieler Apothekerinnen und Apotheker ist, darüber hat unser Co-Founder Immanuel kürzlich im Podcast „Apo Plausch“ mit Hanna Backes und Christina Thurow gesprochen. Zuvor waren die Apotheken Pentests von ProSec bereits Thema in der Pharmazeutischen Zeitung und auf der expopharm.

In diesem Artikel erfahren Sie, warum sich die Inhaber eines Apotheken-Verbunds freiwillig hacken ließen und wie die gesamte Branche nun davon profitiert.

Inhaltsverzeichnis

Pilotprojekt Apotheken Pentest – wie der Stein ins Rollen kam

Zu Beginn des Podcasts berichtet Immanuel, wie ProSec ursprünglich auf das Thema IT Sicherheit in Apotheken aufmerksam geworden ist: Im Anschluss an eine Veranstaltung zum Thema Digitalisierung kam einer der Inhaber eines regionalen Apotheken-Verbunds mit einer Bitte auf Immanuel zu: „Wir müssen mal unsere Apotheken durchleuchten!“

Immanuel war zunächst skeptisch, ob sich dieser Wunsch mit ProSec umsetzen lässt. Normalerweise betreuen wir größere Unternehmen bis hin zu Regierungen in Sachen IT Security. Er war aber schnell von der Notwendigkeit überzeugt, Pentests auch für Apotheken möglich zu machen. Schließlich handele es sich bei Apotheken um eine Art „kleine Kritische Infrastruktur“, deren Ausfall durch Hacking Angriffe für die Bevölkerung fatal wäre, wie Immanuel im Podcast betont.

So, wir hacken jetzt eine Apotheke!

ProSec Co-Founder Immanuel Bär

Als Immanuel mit dem Auftrag „So, wir hacken eine Apotheke!“ zu seinem Team zurückkehrte, wurde auch hier die anfängliche Skepsis schnell überwunden. In enger Zusammenarbeit mit dem Kunden entwarfen ProSec ein maßgeschneidertes Konzept für den Apotheken Pentest. Der Fokus lag darauf, am Ende einen möglichst großen Mehrwert für die IT Sicherheit der Apotheken zu erzielen.

Wie schnell Hacker über den Drucker zu Gehaltslisten kommen

Das Pilot-Projekt für den Apotheken Pentest startete mit einer 2-stufigen Phishing-Kampagne. Hierzu wurden zunächst Phishing-Mails an die Inhaber geschickt (die den Test selbst in Auftrag gegeben hatten!). Im zweiten Schritt wurden die Mitarbeiter aller Apotheken des regionalen Verbundes einbezogen. Das Resultat war alarmierend: Von den beiden eingeweihten Auftraggebern fiel eine Person auf das Phishing herein, bei den übrigen Angestellten waren es drei Viertel.

Wieso ist das so problematisch? Über die Benutzerdaten eines einzigen Mitarbeiters konnten unsere Pentester in das Netzwerk einer Apotheke eindringen. Dort verschafften sie sich Zugriff auf einen Drucker. Über dessen gespeicherte Dateien konnten sie beispielsweise Gehälter einsehen. Zusätzlich konnten sie ihren Zugriff auf das Fax-Archiv ausweiten. Dort waren sensible Patientendaten der letzten 8 bis 10 Jahre im PDF-Format zugänglich.

Wir konnten uns alle Patientendaten mit Rezeptanforderungen und Medikamentierungsvorschlägen der gesamten Region zugänglich machen. Und da war wirklich Feierabend.
ProSec Co-Founder Immanuel Bär
Immanuel
DEO & Co-Founder ProSec

Nun könnten Inhaber kleinerer Apotheken denken, dass sich kein Hacker ihretwegen eine solche Mühe macht. Immanuel erklärt, warum diese Sichtweise falsch ist: Heutzutage ist es sehr einfach, über frei zugängliche Suchmaschinen leichte Ziele für Hacking-Angriffe zu finden. Dazu zählen beispielsweise ungeschützte Peripherie-Geräte wie Webcams.

Wenn Ihre Apotheke zufällig bei einer solchen Suche auftaucht, werden Sie vermutlich früher oder später gehackt.

„Fuck up“-Fehlerkultur: So konnte eine ganze Branche profitieren

Mit einem solchen Ergebnis würden die meisten Unternehmer vermutlich nicht unbedingt in die Öffentlichkeit treten. In unserem Fall war das glücklicherweise anders: Die Inhaber der von uns gehackten Apotheke unterstützten uns darin, die Learnings aus diesem Projekt mit der gesamten Branche zu teilen. Denn eins ist klar: In Zeiten von eHealth-Gesetz und Telematikinfrastruktur kann sich kein Apotheker mehr vor der zunehmenden Digitalisierung verschließen. Da Digitalisierung immer auch eine Zunahme an Schnittstellen bedeutet, ist die frühzeitige Integration von IT Sicherheit unabdingbar.

Das haben so viele nicht auf dem Schirm – nehmt das, geht damit raus und erzählt das anderen!

Mit der Erlaubnis unserer Auftraggeber teilte ProSec daraufhin die Ergebnisse des ersten Apotheken Pentests in Fachmagazinen und auf Veranstaltungen der Apotheken-Branche. Unser Ziel war es dabei, ein Bewusstsein für die Bedrohungslage zu schaffen. Gleichzeitig wollen wir aufzeigen, welche Lösungswege es gibt und wie sich Apotheken gezielt schützen können.

Apotheken-Pentest
Apotheken-Pentests von ProSec in den Fachmedien

Immanuels Botschaft in all diesen Medien war dabei immer dieselbe: Egal wie groß oder klein Ihr Betrieb ist, kümmern Sie sich aktiv um die Integration von IT Sicherheit und suchen Sie sich dafür echte Experten. Erwarten Sie nicht von Ihren IT-Dienstleistern, dass sie das Thema Cyber Security „mal eben“ mit abdecken können, das ist eine unrealistische Erwartung. Lassen Sie sich nicht davon abschrecken, dass Sie selbst beim Thema IT vielleicht nicht besonders firm sind. Nehmen Sie im Zweifel einfach den Dienstleister Ihres Vertrauens mit ins Boot und suchen Sie mit ihm gemeinsam die passenden Experten.

Wie sicher sind Patientendaten in Ihrer Apotheke?
Keine Angst vor unverständlicher Fachsprache – wir gehen das Thema IT Security mit Ihnen gemeinsam an!
Jetzt persönliches Gespräch vereinbaren
TEILEN
ANDERE BEITRÄGE

Inhaltsverzeichnis